Перезагрузка при подключении к интернету

[Vvvyg]

Trojan:Win32/Critet.BS
5
Критический
8
Троян
http://go.microsoft.com/fwlink/?link...4&enterprise=0
1
1
3
%%818
C:\Windows\explorer.exe
ф-DNS\ф
file:_F:\FRST.exe

Microsoft Antimalware постоянно ловит троян в файле FRST.exe, проверьте его на virustotal.com и дайте ссылку на результат.

Каждой перезагрузке предшествуют два события:

Превышение времени ожидания (30000 мс) при ожидании подключения службы "RtkBleServ".Сбой при запуске службы "CHEMCAD System Authorization" из-за ошибки
Системе не удается найти указанный путь.

Отключите две эти службы. А REALTEK Bluetooth Driver удалите лучше для верности, к тому же устаревшая, кажется, версия.

Теневая копия тома C: прервана из-за сбоя ввода-вывода на томе C:.

Тоже на заметку...

Пока всё, завтра на свежую голову продолжу курить логи.

[Dflz]

https://www.virustotal.com/#/file/3f...eb0f/detection
FRST.exe загружен и отправлен на проверку с "чистого" компа windows 10

- - - - -Добавлено - - - - -

отправка с заражённой машины -
У вас нет разрешения на открытие этого файла
обратитесь к владельцу файла или к администратору сети, чтобы получить разрешение.

файл удаляется...

- - - - -Добавлено - - - - -

если выполнить такой cmd

Скрытый текст

set devmgr_show_nonpresent_devices=1
cd %SystemRoot%\System32
start devmgmt.msc

Скрыть

и поставить галочку в Вид - Показать скрытые устройства
то в ветке Драйверы несамонастраиваемых устройств
видны куча странных драйверов, которых нет в нормальных компах.
к сожалению могу как получить это в текстовом виде не знаю
вот такого типа MpKslea02ed4d больше чем на два экрана.

- - - - -Добавлено - - - - -

службы RtkBleServ и CHEMCAD System Authorization отключены
REALTEK Bluetooth Driver удалён
перезагружено
перезагрузка при подключении к "проблемному" роутеру...

[Vvvyg]

https://www.virustotal.com/#/file/3f...eb0f/detection
FRST.exe загружен и отправлен на проверку с "чистого" компа windows 10
Это естественно, там он загружен чистым.

отправка с заражённой машины -
У вас нет разрешения на открытие этого файла
обратитесь к владельцу файла или к администратору сети, чтобы получить разрешение.

файл удаляется...

Блокирует и удаляет антивирус.
Вот потому-то интересует тот, что на проблемном компьютере. Похоже, подменяется при скачивании.
Попробуйте скачать, отключив в антивирус, упакуйте в архив ZIP с паролем virus и загрузите в карантин.

если выполнить такой cmd

Скрытый текст

set devmgr_show_nonpresent_devices=1
cd %SystemRoot%\System32
start devmgmt.msc

Скрыть

и поставить галочку в Вид - Показать скрытые устройства
то в ветке Драйверы несамонастраиваемых устройств
видны куча странных драйверов, которых нет в нормальных компах.
к сожалению могу как получить это в текстовом виде не знаю
вот такого типа MpKslea02ed4d больше чем на два экрана.

Это драйвера MS Antimalware.

перезагрузка при подключении к "проблемному" роутеру...

Вот его настройки бы посмотреть, DNS в первую очередь.

[Dflz]

роутер перезагружен с возвратом к заводским настройкам
внешний адрес - динамический.
удалил всё что упоминало антивирусы...
удалил мелкомягкий антивирусник - удалось скачать frst (отключение не помогало)
удалось выполнить скрипт предложенный выше.
но при подключении в "проблемному роутеру" - перезагрузка...

[Vvvyg]

Сделайте лог сканирования МВАМ.

[Dflz]

log MBAM

[Vvvyg]

Удалите в MBAM (переместите в карантин) всё найденное.

[Dflz]

Удалите в MBAM (переместите в карантин) всё найденное.

перезагрузка продолжается

- - - - -Добавлено - - - - -

один пункт не перемещается в карантин

- - - - -Добавлено - - - - -

удалён вручную
не помогло

- - - - -Добавлено - - - - -

удалил все драйвера что связаны с сетью и реалтеком
скачал и установил новые - с "хорошим" одним роутером работает с "вредным" - перезагрузка
это при том, что Malwarebytes запущен...

[Vvvyg]

Перезагрузка сразу после подключения?

[Dflz]

Перезагрузка сразу после подключения?

как только происходит распознавание подключения (и возможность получения мак адреса шлюза) перезагрузка.
когда принесли для выявления вируса - удалось подключиться к инету без проблем. некоторое время ноут работал в offline, а при подключении к инету перегрузился. потом было обращение сюда, и, видимо, сам зловред был удалён, но остались его следы, т.к. сейчас подключение к другому роутеру не вызывает перегрузки, а перегрузка только при подключении к "старым" шлюзам (которые идентифицируются по мак адресу, где-то прописанному). Но при работе в безопасном режиме с подключением сетевых драйверов - это не проявляется и не проявлялось даже при наличии зловреда.

первоначально диск был вынут из ноута и подключен дополнительным диском к win10, на котором стоит аваст. было запущено сканирование данного диска в режиме "сканирование при загрузке" - сканирование запустилось, но через некоторое время ком выключился...
был произведён повторный запуск такого сканирования - комп выключился...
была попытка сканирования в нормальном режиме - комп выключился.
проверка подключенного диска c chkdsk прошла без проблем.
чистый комп прошёл сканирование без подключенного диска - без проблем....

- - - - -Добавлено - - - - -

перезагрузка происходит именно по идентификации ip шлюза
если в настройках сети в поле шлюза ничего не прописано, а сетевой шнурок соединяет роутер и ноут - перезагрузки нет
как только прописывается ip шлюза , кнопка ок - и перезагрузка.....

[Vvvyg]

Проверьте проблему при "чистой" загрузке системы.
Если не перезагружается - ищите виноватую программу.

[Dflz]

Перегружается....

[Dflz]

не сохраняется адрес шлюза

- - - - -Добавлено - - - - -

удалил перечень соединений в
HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkList

подключаю к "нормальному" роутеру - предлагает выбрать тип сети - выбираю общественная -нет соединения с инетом
меняю на домашняя/предприятия - перезагрузка

[Vvvyg]

Проблема с вирусами не связана, я теперь в этом полностью уверен.

Попробуйте Windows Repair (All In One), запустите, "Jump To Repairs", "Open Repairs", отметьте пункты:
13 "Repair network" и нажмите "Start Repairs".

После перезагрузки проверьте эффект.

[Dflz]

не помогло...

[Vvvyg]

У меня нет пока вариантов.

[Dflz]

как можно узнать разницу между работающими сервисами/программами в нормальном режиме и защищенном с сетевыми драйверами.
почему введённый ip шлюза не сохраняется? где это можно посмотреть в реестре?

[Vvvyg]

как можно узнать разницу между работающими сервисами/программами в нормальном режиме и защищенном с сетевыми драйверами.

Например, по образу автозапуска UVS, сделанном в разных режимах.

почему введённый ip шлюза не сохраняется? где это можно посмотреть в реестре?

Если роутер раздаёт адреса по DHCP, то шлюз прописывается автоматически.

Скачайте утилиту MiniToolBox и сохраните на рабочем столе.

Запустите при подключённом интернете, отметьте следующие пункты:

• Report IE Proxy Settings
• Report FF Proxy Settings
• List content of Hosts
• List IP Configuration
• List Winsock Entries
• List last 10 Event Viewer Errors
• List Installed Programs
• List Devices Only Problems
• List Users, Partitions and Memory size
• List Minidump Files
• List Restore Points

и нажмите Старт.

После завершения сбора информации откроется отчет MTB.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.